Event Report　【OpenID Tech Night Vol.7】

■開催日時 2011年8月5日(金）19：00〜21：00
■会場 秋葉原UDXカンファレンス 6F
■プレゼンテーション
「OAuth 2.0 update」 by @nov
「OpenID Connect latest spec」 by @_nat
「"Cloud Identity Summit 2011" TOI」 by @tkudos

■中継アーカイブ?　

■中継アーカイブ?

---

OpenIDファウンデーション・ジャパン（OIDF-J）主催の技術セミナー第7弾「OpenID Tech Night Vol.7」が、2011年8月5日、秋葉原UDXカンファレンスにて開催されました。

最初にファシリテーターのOpenIDファウンデーション・ジャパン山中より開始の挨拶。
IT/Web業界における最近の問題意識の共有から！という流れで「ソーシャル」「モバイル」「クラウド」がキーワードとして挙げられました。
氏はエンタープライズとコンシューマーWeb間のギャップを例に取り、採用のスピードの違い(コンシューマWebが先でエンタープライズは後追い)、コンシューマーWebではAPIを公開して流行させプラットフォーム化している等の現状があることを説明。

そして今回プレゼンテーションを行う@nov氏 @_nat氏 @tkudos氏 の3名が "Identity Guru" として紹介されました。

@nov氏からはOAuth2.0 の最新仕様についてのプレゼンテーションです。
OAuthのアクセスコントロールAPIについては
・パスワードをシェアしないで使える
・期限付きで利用できる
・スコープ限定で利用できる
といった説明があり、B2C、B2BにもOAuthが広がって来ているとのこと。

ここで、OAuthの歴史についても言及。実際のところ、OAuth1.0は非常に使いにくかったそうです。
現在、各有名サイトではOAuth2.0のDraft10を利用しており、Draft20は8月12日までレビュー中となっています。

続いて、OAuth(Draft20)のオーソライズの仕組みについても丁寧な解説がありました。
Core Spec、TokenType Spec、Tokenのタイプ、セキュリティの考慮など、twitterのようなサービスを例に取ってわかりやすいものとなっていました。
コード詳細はプレゼンテーションに含まれています。

@_nat氏からは待望の(?)OpenID connect についてのプレゼンテーションです。
始める前に、会場に向かって簡単なアンケートがありました。自分がどこに属するか、手を上げてみて欲しいというものです。分類は4種類で
・Saas(クラウド)プロバイダー
・エンドユーザー
・ギーク
・スーツ着用
これはアメリカでも同じことをやったそうですが、日本では恥ずかしがりの人が多いのか、どこにもあまり手が上がりませんでした。

まずOpenID の設計方針についてですが、これは以下のような説明がありました。
・簡単なことは簡単にしよう
OAuth2.0ベース
JSONを活用
・複雑なことも可能にしよう
各セキュリテイレベル対応 - LoA（Level of Assurance)1〜4の設定
クレーム集約
分散クレーム
こうしてみると、実に当たり前の事を言っているな、という感じがします。

さらにOpenID connect Suite、かなりギーク向けの感があるプロトコルの内容説明(コード等詳細はプレゼンテーション参照)そして展望へと続きました。 キーワードは「クレーム セントリック フレームワーク」 で、これはプレゼンテーションにもありますが「複数の主体に分散したAPIを有機的に接続してAPIエコノミーを動かしていくためのもの」という位置づけで語られています。

最後に、「OpenID Summit APAC」の開催が告知されました。日程は12月1日、会場は同じ秋葉原UDXです。

@tkudos氏からはCIS2011(Cloud Identiy Summit 2011)参加の報告です。まずCIS2011とはどんなものなのかの説明がありました。
2日間のワークショップと2日間のセッション、合計4日間開催されアイデンティティ業界関係者が大集合する超アットホームなサミットなのだそうです。
開催場所のホテルでは毎日ファミリー向けのアクティビティも必ずあるようで、こういう開催の仕方は面白いなと感じました。

こちらでのメイントピックは、クラウド関係とアイデンティティガバナンスだったそうです。
さらにアツいトピックとして「GoogleはアイデンティティAPIをOpenConnectにする」というもので、これはログイン・アクセス権限のガバナンスに相当します。

また「Bring Your Own Identity」のキャッチフレーズで、普段自分が使っているIDを持ってきて、企業内で利用するというのはどうか? という話がありました。
正社員は会社のシステムを会社で作ったIDで利用し、協力会社等の人は「BYOI」で利用する、といった方法についてです。IDの発行、管理の問題なども含めアイデンティティマネジメントの世界は奥が深く、これまでの経緯、そして今後どう利用していくか継続しての議論となりそうです。

この後Q&Aセッションが行われ、会場からいくつか質問や議論がありました。やはりアイデンティティの活用やマネジメントについてが一番気になる部分だったようです。

Q「Simple Cloud Identity Management はどのへんがクラウドか?」
A「シンプルにアカウント作成等の機能に絞っているところ」

Q「OAuth2.0にラストコールがかかっているが、使える状態(ライブラリ、API提供)になるのはいつごろ?」
A「はっきりとはしていないが、例えばFacebookがAPIを提供してその数カ月後などか」

Q「日本のエンタープライズは、外部のIdP利用に対して保守的な気がするがどうなりそう?」
A「多くのSaasは、SalesforceやGoogle Appsを(有力候補として)受け入れていくのではないだろうか?」

Q「インタラクションを考えないID APIは終わっているとはどういう意味?」
A「サービス提供側としてはIDを利用してユーザと結びついて行きたいだろうから、そうでないAPIはそちらを向いていないのでは」

今回も100人近い参加者を迎えての開催となり、OpenID技術への関心の高さをうかがい知ることができるセミナーとなりました。
次回OpenID Tech Night Vol.8にもご期待ください。